Anexo H Declaracion de Aplicabilidad
Short Description
Download Anexo H Declaracion de Aplicabilidad...
Description
ANEXO H DECLARACIÓN DE APLICABILIDAD
La presente declaración los controles que son relevantes para el SGSI de la organización y aplicables al mismo. Adicionalmente Adicionalmente en ella s e encuentran justificada la exclusión de algunos de los controles y se muestra el motivo de selección de los controles aplicables, entre los motivos de selección se pueden encontrar: resultados y conclusiones de la evaluación de riesgos y en los procesos de tratamiento del riesgo, requisitos legales o reglamentos, obligaciones contractuales y necesidades empresariales de la organización en materia de seguridad de la información: L: Requerimiento Regulatorio C: Obligación contractual N: Requerimiento del negocio R: Análisis de riesgos
Fecha de elaboración : Agosto : Agosto 27 de 2009
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
5 5.1
Política de seguridad Política de seguridad de la información La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes. La política de seguridad de la información se debería revisar a intervalos planificados planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente. Organización de la seguridad de la información Estructura para la seguridad de la información Los miembros de la Dirección deberían respaldar activamente las iniciativas de seguridad demostrando su claro apoyo y compromiso, asignando y a probando explícitamente las responsabilidades en seguridad de la información dentro de la Organización.
5.1.1
5.1.2
6 6.1
6.1.1
Justificación para exclusión
Razones para la selección de los controles
Salvaguardas existentes
Salvaguardas planeadas
L
Existen políticas de sistemas documentadas en el manual de políticas de sistemas
Redacción del documento: “Política de Seguridad de la Información” (PSI)
x
x
x
x
Las políticas de sistemas son revisadas anualmente por el comité de tecnología
En el documento: “Política de Seguridad de la Información” se establece un
procedimiento de revisión de la política de seguridad
C
N
En el documento: “Política de Seguridad de la Información” se plasma el compromiso
manifiesto de las máximas Autoridades de la empresa y de los Jefes de Área para la difusión, consolidación y cumplimiento de los principios de Seguridad que rigen a l a empresa.
x
R
Salvaguardas Seleccionadas Justificación para exclusión
Sección
Controles ISO 27001:2005
Salvaguardas existentes
6.1.2
Las actividades para la seguridad de la información deberían ser coordinadas por representantes que posean de cierta relevancia en su puesto y funciones y de los distintos sectores que forman la Organización.
Se encuentran identificados los roles de seguridad de la información
6.1.3
Se deberían definir claramente todas las responsabilidades para la seguridad de la información.
Las responsabilidades son conocidas a nivel informal en la organización En las políticas de sistemas está definido que en el momento en que Leasing Bolívar decida crear un nuevo canal de prestación de servicios se emitirá un informe a la superintendencia financiera.
6.1.4
6.1.5
Se debería definir y establecer un proceso de gestión de autorizaciones para los nuevos recursos de tratamiento de la información.
Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Organización.
Leasing Bolívar S.A. dispondrá de una plataforma tecnológica adecuada y con la suficiente capacidad para la atención de los clientes y el desarrollo de sus operaciones. Para su cumplimiento de manera anual el comité de TI de Leasing Bolívar S.A. (Presidente, Gerente Financiero y Jefe de Sistemas), se reunirá con el objetivo de evaluar la necesidad de actualización de los equipos de cómputo que soportan la operación de la Compañía.
Existe un acuerdo de confidencialidad en los contratos laborales
Salvaguardas planeadas
Razones para la selección de los controles L
C
En el documento: “Política de Seguridad de la Información” se establece la conformación
de un comité de seguridad de l a información, conformado por miembros de distintos sectores de la organización.
N
x
En el documento: “Política de Seguridad de la Información” en el numeral 2.3. Se
x
establecen las responsabilidades responsabilidades frente frente a la seguridad de la información.
En el documento: “Política de Seguridad de la Información” numeral 2.3.5. Se describe el
proceso de autorización para los nuevos recursos de tratamiento de la inf ormación y en el numeral 6.5 se estipulan las políticas de planificación y aprobación de sistemas.
X
x
X
x
x
x
El detalle del proceso de autorización de compras se encuentra en los documentos: MP-SOP-03-02-01 Selección de Proveedores MP-SOP-03-02-02 Compras
En el procedimiento "MP-SOP-03-02-01 Selección de proveedores" y el procedimiento "MP-SOP-03-02-02 Compras", se establece la firma por parte del proveedor de un acuerdo de confidencialidad diseñado y aprobado por el departamento jurídico de l a compañía. Los acuerdos de confidencialidad son revisados periódicamente por el
R
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
departamento jurídico.
6.1.6
Se deberían mantener los contactos apropiados con las autoridades pertinentes.
Existe un proceso de gestión legal y cumplimiento normativo en donde se establecen los procedimientos para gestionar las relaciones con las autoridades reguladoras
6.1.7
Se debería mantener el contacto con grupos o foros de seguridad especializados y as ociaciones profesionales.
Se mantiene contactos informales con proveedores de servicios de información
6.1.8
6.2.
6.2.1
Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la información. Terceros Se deberían identificar los riesgos a la información de la organización y a las instalaciones del procesamiento de información de los procesos de negocio que impliquen a terceros y se deberían implementar controles apropiados antes de conceder el acceso.
En el marco de SARO se establecieron los riesgos asociados a cada departamento de la compañía y en estos se incluyen los riesgos asociados al acceso de terceros
En el documento: “Política de Seguridad de la Información” numeral 11.5 se estipula que
el área de Control Interno de Leasing Bolívar S.A. o la Auditoria de T I del Grupo Bolívar emitirá un informe Anual del estado y cumplimiento de las normas de seguridad de la información El Responsable de Seguridad Informática será el encargado de coordinar los conocimientos y las experiencias disponibles en la organización a fin de brindar ayuda en la toma de decisiones en materia de seguridad. (Documento Política de Seguridad de la Información)
x
x
x
Se establece el procedimiento MP-SOP-0601-02 Documentación de procedimientos en donde se establece la metodología de actualización y creación de nuevos procedimientos. Así mismo se establece el instructivo: IU-SOP-06-01 Guía para la elaboración, manejo y control de documentos
x
x
Se levantaran matrices de SARO con los riesgos frente al acceso de terceros.
x
x
x
x
x
x
En el documento: “Política de Seguridad de la Información” se establecen las políticas de
6.2.2
Se deberían anexar todos los requisitos identificados de seguridad antes de dar a los clientes acceso a la información o a los activos de la organización.
seguridad frente al acceso de terceros. Numeral 2.4.
En el procedimiento "MP-SOP-03-02-08 Ingreso de terceros" se establecen claramente los requisitos para el i ngreso de terceros a las instalaciones de la compañía
R
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
6.2.3
Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, deberían cubrir todos los requisitos de seguridad relevantes.
7
Gestión de activos
7.1
Responsabilidad sobre los activos
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
x
x
x
En el documento: “Política de Seguridad de la Información” se establecen las políticas de
Los contratos con terceros incluyen requerimientos de seguridad
seguridad frente a tercerización. Numeral 2.5. En el procedimiento: MP-SOP-03-02-08 Ingreso de terceros, se establecen las condiciones para permitir el ingreso de terceros a las instalaciones de la compañía.
En Leasing Bolívar existe un inventario actualizado con los activos de información de la compañía y su respectivo responsable.
7.1.1
7.1.2
7.1.3
Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.
Toda la información y activos asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización. Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.
7.2
Clasificación de la información
7.2.1
La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.
Se cuenta con un i nventario de equipos y aplicaciones
Se tiene identificado informalmente al responsable de los activos Las regulaciones para el uso adecuado de la información y los activos para su administración, se encuentran documentadas en el manual de políticas de sistemas
Adicionalmente el inventario de los activos de cómputo de la compañía se mantiene en el sistema SIGLEASE y se especifica el registro de nuevos activos como uno de los pasos del proceso MP-SOP-03-02-02 Compras.
x
En el procedimiento " MP-COL-03-03-03 Creación e ingreso de garantías al s istema" se describe el proceso de administración del archivo de garantías de la compañía. En el "Inventario de Activos de Información" se encuentran documentados los responsables de dichos activos de información.
x
En el numeral 3 del documento: “Política de Seguridad de la Información” se establecen
x
las regulaciones para el adecuado manejo de la información según su clasificación
Se estableció un sistema de cl asificación de la información descrito en el numeral 3.5 del "Documento Política de Seguridad de la información"
x
x
x
R
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
7.2.2
Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la Organización.
8
Seguridad ligada a los recursos humanos
8.1
8.1.1
Seguridad en la definición del trabajo y los recursos Se deberían definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización.
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
El procedimiento de etiquetado se encuentra documentado en el numeral 3.5.1. del
x
documento: “Política de Seguridad de la Información”
Se tiene identificados los requisitos de seguridad de los puestos
En el documento: “Política de Seguridad de la Información” se definen las
responsabilidades en cuanto a Seguridad de la Información.
N
x
x
En los procedimientos:
8.1.2
8.1.3
8.2
Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los r iesgos percibidos. Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información. Seguridad en el desempeño de las funciones del empleo
MP-SOP-03-04-01 Contratación MP-SOP-03-04-02 Selección de personal Se investigan los antecedentes para los candidatos a cargos en la organización
Se establece el procedimiento de verificación de antecedentes para los candidatos.
x
x
En el procedimiento "MP-SOP-03-02-01 Selección de proveedores" se establece el procedimiento de verificación de antecedentes a terceros El departamento jurídico de la empresa diseñó un contrato de confidencialidad que debe ser firmado por los funcionarios y los proveedores. (Articulo 11 y 12, 17 del Contrato de Trabajo).
x
R
Salvaguardas Seleccionadas Sección
8.2.1
Controles ISO 27001:2005
La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.
8.2.2
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
8.2.3
Debería existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad.
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
Al inicio del contrato laboral, de debe dar a conocer el código de Seguridad de la Información del Grupo Bolívar y el La dirección reconoce a la seguridad con un factor decisivo en el negocio
documento: “Política de Seguridad de la Información”, el empleado, este se debe
x
comprometer a cumplirlo junto con las políticas de seguridad de la empresa. Numeral 4 del documento: “Política de Seguridad de la Información” En el documento: “Política de Seguridad de la Información” se encuentran asignadas las
responsabilidades de Capacitación. Adicionalmente los procedimientos e instructivos de usuario se constituyen en una herramienta adicional de capacitación.
x
En el numeral "11.7 Sanciones Previstas por Incumplimiento" del documento: “Política de Seguridad de la Información” se especifican
x
las sanciones previstas por incumplimiento de la Política de Seguridad de la Información.
8.3
Finalización o cambio en el puesto de trabajo
8.3.1
Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas y asignadas.
se informa al área de sistemas el retiro de los funcionarios
8.3.2
Todos los empleados, contratistas y terceros deberían devolver todos los activos de la organización que estén en su posesión a la finalización de su empleo, contrato o acuerdo.
Se solicita la devolución de tarjetas de acceso al finalizar el contrato
8.3.3
Se deberían retirar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisada en caso
El departamento de sistemas actualiza los permisos de acceso cuando se entera del retiro de un funcionario
Los jefes de área son los responsables de ejecutar la finalización de un empleo frente a funcionarios que estén a su cargo, el área de recursos humanos y administrativos está encargada de los trámites administrativos de la finalización del contrato. Al finalizar un contrato con la compañía, el área de recursos humanos y administrativos es responsable de verificar que todos los activos de la organización que estén en posesión empleados, contratistas y terceros sean devueltos. En el procedimiento " MP-SOP-04-01-01
x
x
x
Deshabilitación de usuarios” se establecen
los procedimientos de retiro de permisos para los usuarios en los sistemas de información. Cuando se presenta un cambio o retiro del cargo se debe diligenciar el formato: "FRSOP-03-08 Acta de Entrega de Cargo"
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
de cambio. 9
Seguridad física y del entorno
9.1
Áreas seguras
9.1.1
9.1.2
Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento. Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.
Las instalaciones de Leasing Bolívar con los siguientes controles de acceso físico: tarjetas de acceso, paredes solidas y un puesto de recepción
x
Los controles de las áreas de seguridad se detallan en el documento: “Política de Seguridad de la Información” numeral 5.5
x
Existe una empresa de seguridad encargada de la protección del las instalaciones 9.1.3
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
Los controles existentes se encuentran detallados en
x
documento: “Política de Seguridad de la Información”
Numeral 5.5 La empresa cuenta con un programa de brigadas de acción en caso de emergencia
9.1.4
Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
9.1.5
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información.
Implementos de seguridad ambiental y física x
a. Extintor de Solkaflam b. Sistema de aire acondicionado c. Red regulada de voltaje d. Detector de humo y/o incendio e. Cableado estructurado f. Puerta de acceso con seguridad. Las áreas de carga y descarga se encuentran fuera de las instalaciones de la empresa.
En el documento: “Política de Seguridad de la Información” numer al 5.8 se dictan las
normas para recepción y distribución.
x
R
Salvaguardas Seleccionadas Justificación para exclusión
Sección
Controles ISO 27001:2005
9.2
Seguridad de los equipos El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado. Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo.
El edificio cuenta con dos plantas de energía accionadas automáticamente en caso de interrupción eléctrica.
Se debería proteger el cableado de energía y de telecomunicaciones que transporten datos o soporten servicios de información contra posibles interceptaciones o daños.
El cableado de las instalaciones de Leasing Bolívar se encuentra protegido con pisoducto metálico según el "Código eléctrico colombiano – NTC 2050"
9.2.1
9.2.2
9.2.3
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
En el procedimiento MP-SOP-04-02-05 Instalación de equipos de cómputo se define el procedimiento seguro para realizar la instalación de equipos.
x
x
La compañía cuenta con una UPS que funciona en caso de presentarse una falta de energía.
x
x
x
x
x
El mantenimiento de la plataforma tecnológica se encuentra documentado en los procesos:
9.2.4
9.2.5
El mantenimiento a los equipos se hace de acuerdo a la garantía por personal debidamente autorizado
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
Se debería aplicar seguridad a los equipos que se encuentran fuera de los locales de la organización considerando los diversos riesgos a los que están expuestos.
No aplica debido a que la compañía no cuenta con equipos fuera de sus instalaciones
MP-SOP-04-02-02 Solicitud de Soporte Técnico MP-SOP-04-02-04 Mantenimiento de los equipos de cómputo En el "Documento Política de Seguridad de la Información" numeral 5.12 se establece la normatividad de mantenimiento de equipos de la empresa Las medidas a seguir para equipamiento fuera de la instalaciones de l a compañía se encuentran descritas en el documento: “Política de Seguridad de la Información”
No aplica debido a que la compañía no cuenta con equipos fuera de sus instalaciones
numeral 5.13 En el procedimiento MP-SOP-04-03-06 Transporte equipos de computo, se establece el correcto envío y entrega de equipos de computo a las sucursales de la compañía
Salvaguardas Seleccionadas Justificación para exclusión
Sección
Controles ISO 27001:2005
9.2.6
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación
se retiran los archivos cuando el computador cambia de usuario
9.2.7
No deberían sacarse equipos, información o software fuera del local sin una autorización.
Se tiene identificadas las personas autorizadas a retirar equipos de la compañía
10
Gestión de comunicaciones y operaciones
10.1
Procedimientos y responsabilidades de operación
10.1.1
Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten.
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
x
x
x
x
x
x
x
x
En el documento: “Política de Seguridad de la Información” en el numeral 5.14 se
En la intranet de la compañía se encuentran publicados los procedimientos de la c ompañía, así como instructivos de usuario para operaciones especificas
establece que: Los medios de almacenamiento conteniendo material sensible, por ejemplo discos rígidos no removibles, serán físicamente destruidos o sobrescritos en forma segura en lugar de utilizar las funciones de borrado estándar. En el procedimiento "MP-SOP-04-03-06 Trasporte de equipos" se establece el sistema de autorización de retiro de equipos de la compañía. x
x
En el procedimiento "MP-SOP-04-01-10 autorización de retiro de información de la compañía" se especifica la autorización de retiro de información de la compañía.
La metodología de documentación de procesos se encuentra registrada en los siguientes documentos: MP-SOP-06-01-02 Documentación de procedimientos IU-SOP-06-01 Guía para la elaboración, manejo y control de documentos El control de cambios de los sistemas de información se estipula en los si guientes procedimientos:
10.1.2
Se deberían controlar los cambios en los sistemas y en los recursos de tratamiento de la información.
Los cambios son realizados por el personal debidamente autorizado
MP-SOP-04-03-01 Elaboración del requerimiento x
MP-SOP-04-03-02 Desarrollo del requerimiento En el documento: “Política de Seguridad de la Información” numeral 6.4.2 se encuentran
las políticas de gestión de cambios de la organización.
Salvaguardas Seleccionadas Justificación para exclusión
Sección
Controles ISO 27001:2005
Salvaguardas existentes
10.1.3
Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.
Los roles están segregados informalmente
10.1.4
La separación de los recursos para el desarrollo, prueba y producción es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional.
Se impide el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo, cuando no sean indispensables para el funcionamiento del mismo.
10.2
Supervisión de los servicios contratados a terceros
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
las funciones de los cargos del área de sistemas se encuentran documentados en el manual de funciones x
x
x
x
x
x
x
En el documento de política de seguridad de la información numeral 6.4.3 se definen los controles de separación de f unciones. En el numeral 6.4.4. del documento de política de seguridad de la información se realiza una definición formal de los entornos de desarrollo: La compañía cuenta con tres ambientes separados para efectuar el desarrollo de sus sistemas de información: desarrollo, pruebas y producción. Se utilizan sistemas de autenticación y autorización independientes para los diferentes ambientes, así como perfiles de acceso a los sistemas. Se prohíbe a los usuarios compartir contraseñas en estos sistemas. Las interfaces de los sistemas identificarán claramente a qué instancia se está realizando la conexión. El paso de información entre los diferentes ambientes de desarrollo se encuentra documentado en el procedimiento: MP-SOP-04-03-02 Desarrollo del requerimiento
En el documento: “Política de Seguridad de la Información” numeral 6.4.5. Gestión de
10.2.1
Se debería garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa.
instalaciones externas, se especifican las políticas a tener el cuenta en caso tercerizar instalaciones de procesamiento de información, en el momento no se tienen instalaciones tercerizadas. También está el numeral 2.4.2 Requerimientos de Seguridad en Contratos de Tercerización, con los parámetros que se deben seguir para la ejecución de este t ipo de contratos
Salvaguardas Seleccionadas Sección
10.2.2
10.2.3
10.3
10.3.1
10.3.2
10.4
10.4.1
Controles ISO 27001:2005 Los servicios, informes y registros suministrados por terceros deberían ser monitoreados y revisados regularmente, y las auditorias se deberían realizar a intervalos regulares. Se deberían gestionar los cambios en la provisión del servicio, incluyendo mantenimiento y mejoras en las políticas de seguridad de información existentes, en los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos. Planificación y aceptación del sistema Se debería monitorizar el uso de re cursos, así como de las proyecciones de los requisitos de las capacidades adecuadas para el futuro con objeto de asegurar el funcionamiento requerido del sistema. Se deberían establecer criterios de aceptación para nuevos sistemas de información, actualizaciones y versiones nuevas. Se deberían desarrollar las pruebas adecuadas del sistema durante el desarrollo y antes de su aceptación. Protección contra software malicioso y código móvil
Se deberían implantar controles de detección, prevención y recuperación contra el software malicioso, junto a procedimientos adecuados para la concienciación de los usuarios.
Justificación para exclusión
Razones para la selección de los controles
Salvaguardas existentes
Salvaguardas planeadas
El cumplimiento de contratos se revisa por el área de control interno
Se establece que los jefes de área monitoreen y revisen regularmente los informes y registros suministrados por terceros.
Se efectúan pruebas de regresión en la base de datos
Se estipula un revisión semestral de la evaluación de riesgos
Los recursos de información se monitorean informalmente
En el "Documento de políticas de seguridad de la información" numeral 6.5 "Planificación y Aprobación de Sistemas" se establecerlas responsabilidades en la monitorización del uso de los recursos.
x
existe un proceso informal de aceptación de cambios en el departamento de sistemas
En el "Documento de políticas de seguridad de la información" numeral 6.5 "Planificación y Aprobación de Sistemas" se establecen los criterios de aprobación de nuevos sistemas de información.
x
Los equipos de la compañía se encuentran protegidos por software de detección y reparación de virus y mensualmente se publican las estadísticas de virus como forma de concienciación. La empresa cuenta con un programa de bloqueo de código móvil y de ejecutables en las estaciones de trabajo
L
C
N
x
x
x
Políticas establecidas en el documento: “Política de Seguridad de la Información”
numeral 6.6 se establecen las medidas de protección frente a código malicioso
x
R
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
10.4.2
Cuando se autoriza la utilización de código móvil, la configuración debería asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y se debería evitar la ejecución de los códigos móviles no autorizados.
La empresa no autoriza la utilización de código móvil bajo ningún concepto
La empresa cuenta con un programa de bloqueo de código móvil y de ejecutables en las estaciones de trabajo
La empresa no autoriza la utili zación de código móvil bajo ningún concepto
10.5
Gestión interna de soportes y recuperación
10.5.1
Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, de acuerdo con la política acordada de recuperación
10.6
Gestión de redes
10.6.1
Se deberían mantener y controlar adecuadamente las redes para protegerlas de amenazas y mantener la seguridad en los sistemas y aplicaciones que utilizan las redes, incluyendo la información en tránsito.
10.6.2
10.7
Se deberían identificar e incluir, en cualquier acuerdo sobre servicios de red, las características de seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de red, independientemente de que estos se rvicios sean provistos desde la propia organización o se contratan desde el exterior. Utilización y seguridad de los soportes de información
Razones para la selección de los controles L
C
N
R
x
x
x
x
x
x
En el documento: “Política de Seguridad de la Información” numeral 6.7.1 "Resguardo de
Se realizan copias de seguridad en soportes
La red de la compañía se encuentra protegida por los siguientes componentes: Firewall (prevención frente a intrusos)
la Información" se establecen las políticas de backup de la compañía. En el instructivo IU-SOP-04-03 Backup de servidores, se establecen los procedimientos para el backup diario de servidores
En el procedimiento MP-SOP-04-02-03 Detección y remediación de vulnerabilidades, se documentan los pasos de diagnostico de la red con el sistema Netclarity
x
Netclarity (Detección y prevención de vulnerabilidades)
Los nodos de acceso a la red se autentican
Se define una norma de acceso a la red, y se incluye en los acuerdos de servicio lo enumerado en el Documento de Política de Seguridad de la Información numeral 2.4. Seguridad Frente al Acceso por Parte de Terceros
x
Las políticas de gestión de medios extraíbles 10.7.1
Se deberían establecer procedimientos para la gestión de los medios informáticos removibles.
La compañía cuenta un software que permite bloquear el uso de los puertos en las estaciones de trabajo. Lo que permite administrar las políticas.
están estipuladas en el documento: “Política de Seguridad de la Información”. Cuando por
motivos de trabajo los empleados requieran retirar información de la compañía se debe cumplir con lo estipulado en el procedimiento: MP-SOP-04-01-10
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
x
x
x
x
Autorización de retiro de información de la compañía 10.7.2
10.7.3
Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.
Se deberían establecer procedimientos para la manipulación y almacenamiento de la información con el objeto de proteger esta información contra divulgaciones o usos no autorizados o inadecuados.
Existe un procedimiento informal de retirada de soportes
las carpetas cuentan con listas de distribución a personas autorizadas
En el documento: “Política de Seguridad de la Información” en el numeral 6.9.2
Eliminación de Medios de Información se establece el procedimiento de eliminación de medios de información. En el proceso: MP-SOP-04-01-08 Habilitación de usuarios en los sistemas de información, se define el procedimiento de autorización de acceso a las funciones del sistema SIGLEASE. -El encargado del área de archivo cuenta con una lista de personas autorizadas para el préstamo de carpetas. El uso de esta lista se encuentra registrado en los procesos “MP-SOP-03-01-04 Solicitud de carpetas en el archivo” y “MP-SOP-03-01-
x
x
03 creación de carpetas en el archivo”
-En el proceso “Creación e ingreso de garantías al sistema” se estipula del proceso
para el correcto archivo de garantías y en el “MP-SOP-03-03-04 Préstamo de garantías” se establece el procedimiento de préstamo. El único departamento autorizado para solicitar garantías es el departamento jurídico. 10.7.4
Se debería proteger la documentación de los sistemas contra accesos no autorizados.
10.8
Intercambio de información y software
10.8.1
10.8.2
Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación. Se deberían establecer acuerdos para el intercambio de información y software entre la organización y las partes externas.
La documentación del sistema es de acceso limitado solo para el personal autorizado
x
En el documento: “Política de Seguridad de la Información” numeral "6.10.1 Acuerdos de
Intercambio de Información y Software" se establecen las políticas de intercambio de información La organización incluye clausulas de confidencialidad en sus contratos con terceros
x
x
x
Razones para la selección de los controles
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
10.8.3
Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
10.8.4
Se debería proteger adecuadamente la información contenida en la mensajería electrónica.
10.8.5
10.9
10.9.1
10.9.2
Justificación para exclusión
Salvaguardas existentes
10.9.3
Se debería proteger la integridad de la información que pone a disposición en un sistema de acceso público para prevenir modificaciones no autorizadas.
10.10.
Monitorización
10.10.1
Se deberían producir y mantener durante un periodo establecido los registros de auditoría con la grabación de las actividades de los usuarios, excepciones y eventos de la seguridad de información, con el fin de facilitar las investigaciones futuras y el monitoreo de
L
C
N
R
x
x
x
x
Se estipularon los siguientes parámetros de trasporte : MP-SOP-04-03-06 transporte de los equipos de computo IU-SOP-03-06 Guía de entrega y recolección de correspondencia DOMESA Las políticas de uso del correo electrónico, se encuentran publicadas en el documento: “Política de Seguridad de la Información”
numeral 6.10.3.
Se deberían desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información del negocio. Servicios de comercio electrónico Se debería proteger la información involucrada en el comercio electrónico que pasa por redes públicas contra a ctividades fraudulentas, disputas por contratos y divulgación o modificación no autorizadas. Se debería proteger la información implicada en las transacciones en línea para prevenir la transmisión incompleta, enrutamiento equivocado, alteración, divulgación, duplicación o repetición no autorizada del mensaje.
Salvaguardas planeadas
Las políticas de protección de i nformación asociada con la interconexión, se encuentran
x
publicadas en el documento: “Política de Seguridad de la Información” numeral 6.10.4.
La compañía no cuenta con aplicaciones de comercio electrónico
NO APLICA
La compañía no cuenta con aplicaciones de comercio electrónico
La compañía no cuenta con aplicaciones de comercio electrónico
NO APLICA
La compañía no cuenta con aplicaciones de comercio electrónico
Cumplimiento de la normativa vigente de publicación de datos
En el numeral "6.10.5 Sistemas de Acceso Público" del documento de política de seguridad de la información se establecen las políticas de publicación de i nformación en sistemas de acceso público.
En el sistema Siglease se efectuó un desarrollo que lleva un registro de los ingresos al sistema y las actualizaciones al mismo
x
En el procedimiento “MP-SOP-04-03-05 Grabación de Llamadas” se establecen las
condiciones para la grabación y recuperación de llamadas de la compañía. En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se
establecen
los
parámetros
de
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
los controles de acceso.
monitoreo de los sistemas de la compañía.
10.10.2
Se deberían establecer procedimientos para el uso del monitoreo de las instalación de procesamiento de información y revisar regularmente los resultados de las actividades de monitoreo.
Se llevan estadísticas del uso de la plataforma de información
En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se
10.10.3
Se deberían proteger los servicios y la información de registro de la actividad contra acciones forzosas o accesos no autorizados.
Leasing Bolívar cuenta con un detector de vulnerabilidades (Netclarity) que previene frente acciones forzosas o no autorizadas.
10.10.4
Se deberían registrar las actividades del administrador y de los operadores del sistema.
Diariamente se registran logs de las acciones sobre el sistema, servidores Windows y Linux que quedan almacenados en un disco duro
10.10.5
Se deberían registrar, analizar y tomar acciones apropiadas de las averías.
Dependiendo de la severidad de los log se entra a revisar caso por caso para tomar las medidas pertinentes
10.10.6
Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información dentro de la organización o en el dominio de seguridad, con una fuente acordada y exacta de tiempo.
11
Control de acceso
11.1
11.1.1 11.2
Requisitos de negocio para control de accesos Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización. Gestión de acceso de us uario
establecen los parámetros de monitoreo de los sistemas de la compañía. Anualmente se realiza una prueba de penetración sobre los sistemas de la compañía
L
C
N
establecen los parámetros de monitoreo de los sistemas de la compañía.
x
x
x
x
x
x
En el documento: “Política de Segur idad de la Información” numeral 7 se encuentran
establecidas las políticas de control de acceso de la compañía.
R
x
En el numeral 7.8. “Monitoreo del Acceso y Uso de los Sistemas” se
En Leasing Bolívar de sincronizaran los relojes con el reloj de industria y comercio.
Las tareas de la compañía se encuentran segregadas en roles
Razones para la selección de los controles
x
x
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
x
x
x
x
x
x
x
x
Existen procedimientos de alta y baja de usuarios: 11.2.1
11.2.2
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de información.
Se debería restringir y controlar la asignación y uso de los privilegios.
Se realiza una identificación individualizada de todos los usuarios
El sistema mantiene las autorizaciones de los usuarios se cuenta con la opción de suspender temporalmente los privilegios
MP-SOP-04-01-08 Habilitación de usuarios en los sistemas de inf ormación MP-SOP-04-01-01 Deshabilitación de usuarios
x
En el documento: “Política de Seguridad de la Información” numeral 7.5.2 Administración
de Privilegios, se establece el control de la asignación de privilegios En el documento: “Política de Seguridad de la Información” numeral 7.5.3 Administración
de Contraseñas de Usuario y 7.5.4 Administración de Contraseñas Críticas, se establece el proceso formal de gestión de contraseñas. Así mismo en el documento IUSOP-04-02 Administración de contraseñas de la plataforma de información, están registrados los procedimientos de gestión de contraseñas de la compañía. Según lo establecido en el documento:
11.2.3
Se debería controlar la asignación de contraseñas mediante un proceso de gestión formal.
11.2.4
El órgano de Dirección debería revisar con regularidad los derechos de acceso de los usuarios, siguiendo un procedimiento formal.
11.3
Responsabilidades del usuario
11.3.1
Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad en la selección y uso de las contraseñas.
Cuando se entregan las contraseñas se da la información sobre el manejo de estas
11.3.2
Los usuarios deberían garantizar que los equipos desatendidos disponen de la protección apropiada.
Los de la compañía están programados para que su acceso sea bloqueado después de un periodo de inactividad determinado
“Política de Seguridad de la Información”
x
numeral 7.6.2 Equipos Desatendidos en Áreas de Usuarios.
Políticas para escritorios y monitores limpios de información
Se cuenta con bloqueo de pantalla
Registro de políticas en el documento Política de Seguridad de l a información
x
11.3.3
las contraseñas iniciales son únicas
x
“Política de Seguridad de la Información”
numeral 7.8.2 Revisión de Derechos de Acceso de Usuarios: Los derechos de acceso son revisados por el área de Control Interno de la compañía
x
En el documento: “Política de Seguridad de la Información” numeral 7.6.1 Uso de
Contraseñas, se establecen las buenas prácticas que los usuarios de Leasing Bolívar deben tener con sus contraseñas. La protección de los equipos desatendidos se encuentra publicada en el documento:
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
x
x
numeral 5.15 “Políticas de Escritorios y Pantallas Limpias”.
11.4
Control de acceso en red
11.4.1
Se debería proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar.
11.4.2
Se deberían utilizar métodos de autenticación adecuados para el control del acceso remoto de los usuarios.
11.4.3
11.4.4
11.4.5
11.4.6
11.4.7
11.5
Se debería considerar la identificación automática de los equipos como un medio de autenticación de conexiones procedentes de lugares y equipos específicos. Se debería controlar la configuración y el acceso físico y lógico a los puertos de diagnóstico. Se deberían segregar los grupos de usuarios, servicios y sistemas de información en las redes. En el caso de las redes compartidas, especialmente aquellas que se extienden más allá de los límites de la propia Organización, se deberían restringir las competencias de los usuarios para conectarse en red según la política de control de accesos y necesidad de uso de las aplicaciones de negocio. Se deberían establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de información no incumplen la política de control de accesos a las aplicaciones de negocio. Control de acceso al sistema operativo
La plataforma de red de la compañía cuenta con un software de seguridad que bloquea los accesos no autorizados en la red En la compañía no se usa el acceso remoto por parte de los usuarios
La compañía no cuenta con redes compartidas fuera de los límites de la compañía
NO APLICA
Existen procedimientos de alta y baja de usuarios en la red: MP-SOP-04-01-08 Habilitación de usuarios en los sistemas de información MP-SOP-04-01-01 Deshabilitación de usuarios En la compañía no se usa el acceso remoto por parte de los usuarios
El software PC secure identifica automáticamente los equipos de la red en los cuales está instalado
x
La configuración y el acceso son controlados por el departamento de sistemas
x
se segregan los grupos de usuarios en la red
La segregación de usuarios en las redes se encuentra en la PSI numeral 7.7.6 Control de Conexión a la Red
se segregan los grupos de usuarios en la red
La segregación de usuarios en las redes se encuentra en la PSI numeral 7.7.6 Control de Conexión a la Red
limitación de opciones del menú para usuarios Líneas de teléfono dedicadas
La política de enrutamiento de la compañía se encuentra documentada en el documento PSI numeral 7.7.4 Subdivisión de Redes
x
x
Salvaguardas Seleccionadas Sección 11.5.1
11.5.2
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Debería controlarse el acceso al sistema operativo mediante procedimientos seguros de conexión. Todos los usuarios deberían disponer de un único identificador propio para su uso personal y exclusivo. Se debería elegir una técnica de autenticación adecuada que verifique la identidad reclamada por un usuario.
11.5.3
Los sistemas de gestión de contraseñas deberían ser interactivos y garantizar la calidad de las contraseñas.
11.5.4
Se debería restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones.
11.5.5
Se deberían desconectar las sesiones tras un determinado periodo de inactividad.
11.5.6
Se deberían utilizar limitaciones en el tiempo de conexión que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo.
11.6
Control de acceso a las Aplicaciones
Salvaguardas planeadas
Razones para la selección de los controles L
En Leasing Bolívar se usa como procedimiento seguro de conexión los descritos en PSI "7.7.2 Camino Forzado" En PSI numeral 7.5.1 Registro de Usuarios, es establece que los usuarios tendrán un único identificador de acceso Leasing Bolívar cuenta con un sistema de gestión de contraseñas interactivo que promueve el cumplimiento de las políticas de c ontraseñas establecidas Leasing Bolívar cuenta con software de gestión de seguridad que bloquea el acceso a programas utilitarios a usuarios no autorizados El sistema SIGLEASE desconecta la sesión automáticamente después de un determinado tiempo de inactividad se aplican las mismas consideraciones del numeral anterior
C
N
R
x
x
x
x
En PSI numeral 7.5.2 se establece que: Los usuarios finales y los operadores por ningún motivo tendrán acceso a programas fuente, ni a utilitarios de uso de desarrollo, ni a líneas de comando 7.6.2 Equipos Desatendidos en Áreas de Usuarios se establece la desconexión automática de sesiones por periodos de inactividad de 15 minutos
x
x
x
x
NO APLICA
se aplican las mismas consideraciones del numeral anterior
11.6.1
Se debería restringir el acceso de los usuarios y el personal de mantenimiento a la información y funciones de los sistemas de aplicaciones, en relación a la política de control de accesos definida.
La restricción de accesos al aplicativo SIGLEASE, se encuentra controlada por el módulo de seguridad del mismo.
La política de accesos se encuentra documentada en PSI numeral 7.5.1 Registro de Usuarios
x
x
11.6.2
Los sistemas sensibles deberían disponer de un entorno informático dedicado (propio).
En Leasing Bolívar el Sistema SIGLEASE cuenta con un ambiente informático propio.
En PSI se establece la disposición de un entorno dedicado para las aplicaciones sensibles: 7.7.9 Aislamiento de los Sistemas Sensibles
x
x
11.7
Informática móvil y tele trabajo
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
11.7.1
Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.
11.7.2
Se debería desarrollar e implantar una política, planes operacionales y procedimientos para las actividades de teletrabajo.
12
Adquisición, desarrollo y mantenimiento de sistemas de información
12.1
Requisitos de seguridad de los sistemas
12.1.1
12.2 12.2.1
12.2.2
12.2.3
Las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes deberían especificar los requisitos de los controles de seguridad.
Justificación para exclusión Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo, para USB y portátiles se usa la política de medios extraíbles Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo
Salvaguardas existentes
Salvaguardas planeadas
NO APLICA
Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo, para USB y portátiles se usa la política de medios extraíbles
NO APLICA
Leasing Bolívar no cuenta con aplicaciones de informática móvil o de teletrabajo
Se conocen las leyes y contratos de seguridad de la i nformación aplicables
Razones para la selección de los controles L
C
N
R
x
x
En PSI numeral : 8.4 Seguridad en los Sistemas de Aplicación, se especifican los requisitos de seguridad para los sistemas de seguridad En el procedimiento “MP-SOP-04-03-01 Elaboración del requerimiento” se encuentran
contemplados los aspectos de seguridad como parte del proceso de desarrollo.
Seguridad de las aplicaciones del sistema Se deberían validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados. Se deberían incluir chequeos de validación en las aplicaciones para la detección de una posible corrupción en la información debida a errores de procesamiento o de acciones deliberadas. Se deberían identificar los requisitos para asegurar la autenticidad y protección de la integridad del contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados.
Se cuenta con dos plantillas para el manejo de los mensajes de error y de advertencia
PSI numeral: 8.4.1 Validación de Datos de Entrada
x
x
PSI numeral: 8.4.2 Controles de Procesamiento Interno
x
x
PSI numeral: 8.4.3 Autenticación de Mensajes
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
12.2.4
Se deberían validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la información almacenada es correcto y apropiado a las circunstancias.
12.3
Controles criptográficos
12.3.1
12.3.2 12.4
12.4.1
Se debería desarrollar e implantar una política de uso de controles criptográficos para la protección de la información. Se debería establecer una gestión de las claves que respalde el uso de las técnicas criptográficas en la Organización. Seguridad de los ficheros del sistema Se deberían establecer procedimientos con objeto de controlar la instalación de software en sistemas que estén operativos. Se deberían seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas. Se debería restringir el acceso al código fuente de los programas. Seguridad en los procesos de desarrollo y soporte
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
PSI numeral: 8.4.4 Validación de Datos de Salidas Antes de pasar a producción cualquier aplicación se debe efectuar el procedimiento de Pruebas: MP-SOP-04-03-02 Desarrollo del requerimiento
x
se conoce la norma de uso de controles criptográficos
PSI numeral: 8.5.1 Política de Utilización de Controles Criptográficos.
x
x
la generación de claves se hace a través de un dispositivo informático
PSI numeral: 8.5.2 Administración de claves criptográficas
x
x
El software Pcsecure controla la instalación de software en las estaciones de trabajo.
En el documento PSI numeral: 8.7.1 Procedimiento de Control de Cambios, se definen los siguientes controles a realizar durante la implementación del software en producción
x
las pruebas se realizan en un habiente de pruebas separado
PSI numeral: 8.6.1 Protección de los Datos de Prueba del Sistema
x
x
el acceso al código f uente de los programas está restringido
PSI numeral: 8.6.3 Control de Acceso a las Bibliotecas de Programas Fuentes
x
x
12.5.1
Se debería controlar la implantación de cambios mediante la a plicación de procedimientos formales de control de cambios.
Todo requerimiento de usuario entra a un comité técnico para ver la viabilidad y la DB de la compañía valida su paso a producción, de esto se lleva un registro en la bitácora de paso a producción
En los procesos: MP-SOP-04-03-01 Elaboración del requerimiento y MP-SOP04-03-02 Desarrollo del requerimiento. Se control la implantación de cambios a los sistemas de información.
x
x
12.5.2
Se deberían revisar y probar las aplicaciones críticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la Organización
Se realiza una reunión de comité de TI con los proveedores involucrados para estimar la viabilidad de los cambios propuestos
PSI numeral: 8.7.2 Revisión Técnica de los Cambios en el Sistema Operativo
12.4.2 12.4.3 12.5
R
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
12.5.3
Se debería desaconsejar la modificación de los paquetes de software, restringiéndose a lo imprescindible y todos los cambios deberían ser estrictamente controlados.
12.5.4
Se debería prevenir las posibilidades de fuga de información.
12.5.5
Se debería supervisar y monitorizar el desarrollo del software subcontratado por la Organización.
12.6
Gestión de las vulnerabilidades técnicas
12.6.1
13 13.1
13.1.1
13.1.2
13.2
13.2.1
Se debería obtener información oportuna sobre la vulnerabilidad técnica de los sistemas de información que se están utilizando, evaluar la exposición de la organización ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados. Gestión de incidentes de seguridad de la información Comunicación de eventos y debilidades en la seguridad de la información Se deberían comunicar los eventos en la seguridad de información lo más rápido posible mediante canales de gestión apropiados. Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de información deberían anotar y comunicar cualquier debilidad observada o sospechada en la seguridad de los mismos. Gestión de incidentes y mejoras en la seguridad de la información Se deberían establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de información.
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
PSI numeral: 8.7.3 Restricción del Cambio de Paquetes de Software
C
N
x
El software PC secure cuenta con herramientas para la prevención de fuga de información. existen procedimientos informales de monitorización del software
En el procedimiento "MP-SOP-04-01-10 autorización de retiro de información de la compañía" se especifica la autorización de retiro de información de la compañía.
x
PSI numeral: 2.5.1 Requerimientos de Seguridad en Contratos de Tercerización
x
La compañía cuenta con hardware de propósito específico para la detección y remediación de vulnerabilidades.
El diagnostico de vulnerabilidades se realiza de acuerdo a lo especificado en MP-SOP- 0402-03 Detección y remediación de vulnerabilidades
x
x
La comunicación de eventos de riesgo operativo se comunican en el contexto establecido por el sistema de administración del riesgo operativo (SARO)
PSI numeral: 9.4.1 Comunicación de Incidentes Relativos a la Seguridad
X
x
PSI numeral: 9.4.2 Comunicación de Debilidades en Materia de Seguridad
x
x
En el documento PSI numeral 9.5 Procedimientos de Manejo de Incidentes es estipula que se establecerán funciones y procedimientos de manejo de incidentes, estos se encuentran descritos en el IU-SOP01-01 Gestión de incidentes de seguridad de
x
x
Existe un procedimiento informal de registro de fallos
R
x
x
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
R
x
x
la información
13.2.2
Debería existir un mecanismo que permitan cuantificar y monitorear los tipos, volúmenes y costes de los incidentes en la seguridad de información.
En el contexto de SARO se cuantifican y categorizan los riesgos presentados en la organización
En el documento de Política de Seguridad de la Información numeral 9.4.3 Aprendiendo de los Incidentes, se estipula el establecimiento de proceso que permita documentar, cuantificar y monitorear los ti pos, volúmenes y costos de los incidentes y anomalías, esta documentación de incidentes se realizará a través de lo estipulado en IU-SOP-01-01 Gestión de incidentes de seguridad de la información
13.2.3
Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la seguridad de información, implique acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante.
El área de control interno es la encargada de efectuar las gestiones al interior de la organización para el tratamiento de evidencia frente a incidentes de seguridad de la i nformación.
En el Documento de Política de Seguridad de la Información numeral: 11. Cumplimiento, se describe los procesos de protección de registros de acuerdo a la jurisdicción relevante.
x
x
14
Gestión de continuidad del negocio
Existe un plan de continuidad del negocio debidamente documentado
PSI numeral: 10.4 Proceso de la Administración de la Continuidad de la Organización
x
x
En SARO se encuentran identificados una serie de riesgos que pueden interrumpir las operaciones del negocio, estos están valorados frente a su impacto y probabilidad de ocurrencia
En el análisis de riesgos de seguridad de la información se identificaron específicamente las amenazas sobre los activos de información y el impacto de dichas amenazas para la seguridad de la información.
x
x
14.1
14.1.1
14.1.2
Aspectos de la gestión de continuidad del negocio Se debería desarrollar y mantener un proceso de gestión de la continuidad del negocio en la organización que trate los requerimientos de seguridad de la información necesarios para la continuidad del negocio. Se deberían identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información.
PSI numeral: 10.5 Continuidad de las Actividades y Análisis de los Impactos
Salvaguardas Seleccionadas Sección
14.1.3
14.1.4
Controles ISO 27001:2005 Se deberían desarrollar e implantar planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el gra do y en las escalas de tiempo requerido, tras la interrupción o fallo de los procesos críticos de negocio. Se debería mantener un esquema único de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento.
14.1.5
Se deberían probar regularmente los planes de continuidad del negocio para garantizar su actualización y eficacia.
15
Conformidad
15.1
Conformidad con los requisitos legales
15.1.1
15.1.2
Todos los requisitos estatutarios, de regulación u obligaciones contractuales relevantes, así como las acciones de la Organización para cumplir con estos requisitos, deberían ser explícitamente definidos, documentados y a ctualizados para cada uno de los sistemas de información y la Organización. Se deberían implantar procedimientos adecuados que garanticen el cumplimento de la legislación, regulaciones y r equisitos contractuales para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario.
Justificación para exclusión
Razones para la selección de los controles
Salvaguardas existentes
Salvaguardas planeadas
L
Existe un plan de recuperación de la base de datos
PSI numeral: 10.6 El aboración e Implementación de los Planes de Continuidad de las Actividades de la empresa
x
x
El Plan de Continuidad de Leasing Bolívar se encuentra consolidado en formatos estándar, publicados en la intranet
PSI numeral : 10.7 Marco para la Planificación de la Continuidad de l as Actividades de la empresa
x
x
En el manual de continuidad del negocio se encuentra establecido que las pruebas al plan de continuidad del negocio se realizaran anualmente de acuerdo al procedimiento establecido en este.
PSI numeral : 10.8 Ensayo, Mantenimiento y Reevaluación de los Planes de Continuidad del la organización
los derechos de propiedad intelectual son contemplados en los acuerdos de servicios
C
N
x
Las leyes y normatividad aplicables a la seguridad de la información que rigen sobre Leasing Bolívar se encuentran documentadas en PSI 11.4.1. Identificación de la Legislación Aplicable
x
PSI numeral: 11.4.2 Derechos de Propiedad Intelectual, la empresa cuenta con un software que permite detectar el uso de software no autorizado en la empresa.
x
x
x
x
R
Salvaguardas Seleccionadas Sección
Controles ISO 27001:2005
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
N
x
x
x
PSI numeral: 11.4.3 Protección de los Registros de la organización En el proceso “Creación e ingreso de garantías al sistema” se estipula del proceso
15.1.3
Los registros importantes se deberían proteger de la pérdida, destrucción y falsificación, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio.
Existe un área de archivo en donde se custodian los registros importantes de la compañía, por otra parte las garantías de contratos se encuentran debidamente custodiadas en caja fuerte.
para el correcto archivo de garantías y en el “MP-SOP-03-03-04 Préstamo de garantías” se establece el procedimiento de préstamo. El único departamento autorizado para solicitar garantías es el departamento jurídico. -El encargado del área de archivo cuenta con una lista de personas autorizadas para el préstamo de carpetas. El uso de esta lista se encuentra registrado en los procesos “MP-SOP-03-01-04 Solicitud de carpetas en el archivo” y “MP-SOP-03-0103 creación de carpetas en el archivo”
15.1.4
15.1.5
15.1.6 15.2
15.2.1
15.2.2
Se debería garantizar la protección y privacidad de los datos y según requiera la legislación, regulaciones y, si fueran aplicables, las cláusulas relevantes contractuales. Se debería disuadir a los usuarios del uso de los recursos dedicados al t ratamiento de la información para propósitos no autorizados. Se deberían utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes. Revisiones de la política de seguridad y de la conformidad técnica Los directivos se deberían asegurar que todos los procedimientos de seguridad dentro de su área de responsabilidad se realizan correctamente y cumplen con los estándares y políticas de seguridad. Se debería comprobar regularmente la conformidad de los sistemas de información con los estándares de implantación de la seguridad.
existe una definición de la responsabilidad del manejo de los datos de carácter personal Leasing Bolívar cuenta con una herramienta de auditoría para su plataforma tecnológica (PC Secure) se conocen y cumplen los requisitos emitidos por la Superintendencia Financiera sobre los controles cifrados
PSI numeral: 11.4.4 Protección de Datos y Privacidad de la Información Personal
x
x
PSI numeral: 11.4.5 Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información PSI numeral: 11.4.6 Regulación de Controles para el Uso de Criptografía
Existen procedimientos informales del revisión del cumplimiento de normas por parte del personal
PSI numeral: 11.5.1 Cumplimiento de la Política de Seguridad
La empresa cuenta con servicios a de auditoría en TI interna (Auditoría del Grupo Bolívar) externa (KPMG)
PSI numeral: 11.5.2 Verificación de la Compatibilidad Técnica
x
x
x
x
x
x
R
Salvaguardas Seleccionadas Sección 15.3
15.3.1
15.3.2
Controles ISO 27001:2005 Consideraciones sobre la auditoría de sistemas Se deberían planificar y acordar cuidadosamente los requisitos y actividades de auditoría que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio. Se deberían proteger los accesos a las herramientas de auditoría de los sistemas de información con objeto de prevenir cualquier posible mal uso o compromiso.
Justificación para exclusión
Salvaguardas existentes
Salvaguardas planeadas
Razones para la selección de los controles L
C
Los procedimientos de la auditoría de sistemas llevados a cabo en Leasing Bolívar son previamente definidos y comunicados por auditoría Bolívar
PSI numeral: 11.6 Consideraciones de Auditorías de Sistemas, se establece adicionalmente el documento: IU-SOP-06-03 Auditorías Internas de seguridad de la información
x
las herramientas de auditoría están separadas de los sistemas de producción y operación
En PSI numeral: 7.8.2 Revisión de Derechos de Acceso de Usuarios, Se establece la creación de un perfil especial para la función de auditoría
x
N
R
View more...
Comments